{"id":8232,"date":"2025-07-27T17:16:35","date_gmt":"2025-07-27T15:16:35","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8232"},"modified":"2025-07-27T17:16:35","modified_gmt":"2025-07-27T15:16:35","slug":"acrstealer-prikriveni-kradljivac","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2025\/07\/27\/acrstealer-prikriveni-kradljivac\/","title":{"rendered":"ACRStealer: Prikriveni kradljivac"},"content":{"rendered":"<p><em>ACRStealer<\/em> se pojavio kao jedan od najmo\u0107nijih kradljivaca informacija u skorije vrijeme, ponose\u0107i se impresivnim nizom mogu\u0107nosti koje su ostavile mnoge <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">stru\u010dnjake za bezbjednost<\/a> u potrazi za odgovorima, pokazuje <a href=\"https:\/\/asec.ahnlab.com\/en\/89128\/\" target=\"_blank\" rel=\"noopener\">istra\u017eivanje<\/a> kompanije <em>AhnLab SEcurity intelligence Center<\/em> (<em>ASEC<\/em>).<\/p>\n<div id=\"attachment_8233\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8233\" class=\"size-full wp-image-8233\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/ACRStealer-Infostealer.jpg\" alt=\"ACRStealer\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/ACRStealer-Infostealer.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/ACRStealer-Infostealer-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/ACRStealer-Infostealer-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/ACRStealer-Infostealer-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/ACRStealer-Infostealer-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/ACRStealer-Infostealer-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/ACRStealer-Infostealer-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8233\" class=\"wp-caption-text\"><em>ACRStealer: Prikriveni kradljivac; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2025\/07\/27\/acrstealer-prikriveni-kradljivac\/#ACRSTEALER\" >ACRSTEALER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2025\/07\/27\/acrstealer-prikriveni-kradljivac\/#ACRStealer_Evolucija\" >ACRStealer Evolucija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2025\/07\/27\/acrstealer-prikriveni-kradljivac\/#Zastita_konfiguracije\" >Za\u0161tita konfiguracije<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2025\/07\/27\/acrstealer-prikriveni-kradljivac\/#C2_komunikacija\" >C2 komunikacija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2025\/07\/27\/acrstealer-prikriveni-kradljivac\/#Zastita_korisnih_podataka\" >Za\u0161tita korisnih podataka<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2025\/07\/27\/acrstealer-prikriveni-kradljivac\/#UTICAJ\" >UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2025\/07\/27\/acrstealer-prikriveni-kradljivac\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"http:\/\/sajberinfo.com\/en\/2025\/07\/27\/acrstealer-prikriveni-kradljivac\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"ACRSTEALER\"><\/span><strong><em>ACRSTEALER<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>ACRStealer<\/em> je <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> u klasi kradljivaca podataka koji se aktivno distribuira od po\u010detka 2025. godine. Dizajniran je da krade osjetljive informacije iz kompromitovanih sistema, uklju\u010duju\u0107i podatke sa\u010duvane u internet pregleda\u010dima, kriptovalutama nov\u010danicima, elektronska po\u0161ta klijentima, <em>FTP<\/em> nalozima, skladi\u0161tenju u oblaku, <em>Sticky<\/em> <em>Notes<\/em>, menad\u017eerima naloga, bazama podataka, alatima za daljinski pristup i datotekama dokumenata kao \u0161to su <em>DOC<\/em>, <em>TXT<\/em> i <em>PDF<\/em>.<\/p>\n<p>Zlonamjerni softver se brzo razvijao sa naprednim izmjenamausmjerenim na izbjegavanje otkrivanja i komplikovanje analize. Koristi napredne tehnike za izvr\u0161avanje <em>x64<\/em> zlonamjernog programskog k\u00f4da unutar <em>WoW64<\/em> procesa, \u0161to ote\u017eava tradicionalnom pra\u0107enju i kontramjerama da otkriju njegovu zlonamjernu aktivnost. <em>ACRStealer<\/em> tako\u0111e koristi <em>Dead Drop Resolver \u2013 DDR<\/em> tehniku za komunikaciju sa komandno-kontrolnim serverima uskladi\u0161tenim na <em>Google<\/em> <em>Docs<\/em> i <em>Steam<\/em>, platformama \u0161to dodatno komplikuje napore analize i otkrivanja.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"ACRStealer_Evolucija\"><\/span><strong><em>ACRStealer <\/em>Evolucija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><em>ACRStealer<\/em> koristi naprednu tehniku <em>Heaven's Gate<\/em> za izvr\u0161avanje <em>x64<\/em> zlonamjernog programskog k\u00f4da unutar <em>WoW64<\/em> procesa tokom kriti\u010dnih operacija poput <em>C2<\/em> veza. Ovaj pristup je posebno vrijedan pa\u017enje, jer ometa konvencionalne mehanizme za analizu pona\u0161anja zbog svoje sposobnosti da maskira zlonamjerne aktivnosti iz modula za detekciju i na nivou ure\u0111aja i na nivou virtuelnih okru\u017eenja. Tehnika se oslanja na mogu\u0107nosti zlonamjernog softvera koji funkcioni\u0161u kao servis, a koji u ve\u0107ini slu\u010dajeva zavise od ograni\u010dene kompatibilnosti sa <em>x86<\/em> procesorima.<\/p>\n<p>Tehnika <em>Heaven's Gate<\/em> ima zna\u010dajne uticaje na dinami\u010dku analizu i otkrivanje zasnovano na potpisima. Izvr\u0161avanjem k\u00f4da unutar <em>WoW64<\/em> procesa, varijante <em>ACRStealer <\/em>zlonamjernog softvera mogu da zamagljuju svoje tokove izvr\u0161avanja, \u0161to ote\u017eava otkrivanje tradicionalnim metodama. Ovaj pristup efikasno zaobilazi mehanizme pra\u0107enja i hvatanja na nivou biblioteke, dodatno komplikuje proces lova na prijetnje.<\/p>\n<p>Za razliku od konvencionalnih <em>C2<\/em> komunikacionih biblioteka kao \u0161to su <em>WinHTTP<\/em> ili <em>Winsock<\/em>, izmijenjene varijante <em>ACRStealer <\/em>zlonamjernog softvera direktno se povezuju sa upravlja\u010dkim softverom pomo\u0107nih funkcija (eng. <em>Ancillary Function Driver \u2013 AFD<\/em>) koriste\u0107i <em>NT<\/em> funkcije niskog nivoa. Ovaj pristup uklju\u010duje <em>NtCreateFile<\/em> i <em>NtDeviceIoControlFile<\/em> za rukovanje operacijama priklju\u010dka. Ru\u010dnim sastavljanjem <em>HTTP<\/em> struktura, ove varijante efikasno zaobilaze mehanizme pra\u0107enja i priklju\u010divanja na nivou biblioteke.<\/p>\n<p>Analiza sugeri\u0161e da je implementacija ove tehnike inspirisana projektom otvorenog k\u00f4da \u201c<em>NTSockets<\/em>\u201d. Ovo omogu\u0107ava <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da odr\u017ee prikrivenost tokom mre\u017enih interakcija koriste\u0107i prilago\u0111eni pristup. Upotreba <em>NT<\/em> funkcija niskog nivoa pru\u017ea dodatni sloj slo\u017eenosti, \u0161to ote\u017eava otkrivanje alatima za bezbjednost i sigurnosnim analiti\u010darima.<\/p>\n<p>Pored toga, varijante zlonamjernog softvera <em>ACRStealer<\/em> primjereniju tehnike preru\u0161avanja tako \u0161to unaprijed ugra\u0111uju zasebne domenske adrese i <em>IP<\/em> adrese u zaglavlja <em>HTTP<\/em> zahteva. Neke verzije se \u010dak predstavljaju kao legitimne internet lokacije poput: <em>microsoft.com<\/em>, <em>avast.com<\/em>, <em>facebook.com<\/em>, <em>google.com <\/em>ili <em>pentagon.com<\/em> kako bi obmanuli alate za pra\u0107enje.<\/p>\n<p>U odre\u0111enim uzorcima, ove taktike prikrivanja dovode do toga da alati poput <em>VirusTotal<\/em> platforme prikazuju bezopasne domene umjesto stvarnih zlonamjernih <em>IP<\/em> adresa. Ovo komplikuje pripisivanje prijetnji i napore reagovanja tako \u0161to ote\u017eava identifikaciju prave prirode <em>C2<\/em> komunikacije zlonamjernog softvera.<\/p>\n<p><a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0160ifrovanje<\/a> konfiguracionih podataka koje koristi <em>ACRStealer<\/em> ostaje dosljedno prethodnim verzijama, koriste\u0107i <em>Base64<\/em>, zatim <em>RC4<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a> sa unaprijed definisanim klju\u010dem. Me\u0111utim, novije varijante uklju\u010duju dodatne slojeve sigurnosti, uklju\u010duju\u0107i samopotpisane certifikate za <em>HTTPS<\/em> i <em>AES-256<\/em> u <em>CBC<\/em> re\u017eimu, koriste\u0107i unaprijed definisani klju\u010d i inicijalizacioni vektor.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Zastita_konfiguracije\"><\/span><strong>Za\u0161tita konfiguracije<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>\u0160ifrovanje konfiguracionih podataka koje koristi <em>ACRStealer<\/em> ostaje dosljedno prethodnim verzijama, koriste\u0107i kombinaciju <em>Base64<\/em> pra\u0107enog <em>RC4<\/em> sa klju\u010dem. Ovaj pristup osigurava da su osjetljive informacije za\u0161ti\u0107ene tokom prenosa izme\u0111u komponenti zlonamjernog softvera ili prilikom komunikacije sa njegovim <em>C2<\/em> serverima. Upotreba <em>Base64<\/em> k\u00f4diranja pru\u017ea po\u010detni sloj za\u0161tite od slu\u010dajnih posmatra\u010da, dok naknadna primjena <em>RC4<\/em> \u0161ifrovanja dodaje dodatnu barijeru za spre\u010davanje neovla\u0161tenog pristupa.<\/p>\n<p>Oslanjanje na unaprijed definisani klju\u010d za <em>RC4<\/em> \u0161ifrovanje uvodi neka ograni\u010denja u pogledu fleksibilnosti i skalabilnosti. Me\u0111utim, ovaj pristup tako\u0111e doprinosi mogu\u0107nostima prikrivenosti zlonamjernog softvera smanjenjem vjerovatno\u0107e otkrivanja putem analize zasnovane na obrascima ili podudaranja potpisa. Kako se <em>ACRStealer<\/em> nastavlja razvijati, \u0161ifrovanje njegovih konfiguracionih podataka ostaje su\u0161tinski aspekt odr\u017eavanja operativne bezbjednosti.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"C2_komunikacija\"><\/span><strong><em>C2<\/em> komunikacija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Rane verzije <em>ACRStealer <\/em>zlonamjernog softvera koristile su servere uskladi\u0161tene na <em>CloudFlare<\/em> platformi za <em>C2<\/em> komunikaciju, \u0161to je nametalo ograni\u010denja na izmjene hosta. Ovaj pristup je ograni\u010davao sposobnost zlonamjernog softvera da koristi tehnike falsifikovanja domena bez oslanjanja na zavisnosti od oblaka. Me\u0111utim, novije varijante su uklju\u010dile samopotpisane certifikate za <em>HTTPS<\/em> komunikaciju, omogu\u0107avaju\u0107i zlonamjernim akterima da odr\u017ee prikrivenost prikrivanjem zlonamjernih <em>IP<\/em> adresa kao legitimnih domena.<\/p>\n<p>Nedavni primjerci <em>ACRStealer <\/em>zlonamjernog softvera su usavr\u0161ili svoje <em>C2<\/em> procese usvajanjem dinami\u010dkih, serverski izdatih slu\u010dajnih nizova za putanje. Ovaj pristup zamjenjuje stati\u010dke putanje i prebacuje zahteve za konfiguraciju sa <em>GET<\/em> na <em>POST<\/em> metode sa <em>JSON<\/em> strukturiranim podacima. Uvo\u0111enje po\u010detnog rukovanja za preuzimanje putanja krajnjih ta\u010daka pobolj\u0161ava prilagodljivost i smanjuje efikasnost detekcije zasnovane na obrascima.<\/p>\n<p>Kori\u0161tenje generisanja dinami\u010dkih putanja ote\u017eava stru\u010dnjacima za bezbjednost da identifikuju specifi\u010dne obrasce ili potpise <em>C2<\/em> servera povezane sa <em>ACRStealer <\/em>zlonamjernim softverom. Ova taktika tako\u0111e omogu\u0107ava zlonamjernim akterima da odr\u017ee operativnu fleksibilnost, jer mogu lako da izmjene svoju <em>C2<\/em> infrastrukturu bez uticaja na ukupnu funkcionalnost zlonamjernog softvera. Kao rezultat toga, branioci moraju da usvoje sofisticiranije strategije detekcije i reagovanja koje uzimaju u obzir ove evoluiraju\u0107e taktike.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Zastita_korisnih_podataka\"><\/span><strong>Za\u0161tita korisnih podataka<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Pored pristupa za\u0161tite konfiguracije \u0161ifrovanjem, <em>ACRStealer<\/em> koristi dodatni sloj <em>AES-256<\/em> u <em>CBC<\/em> re\u017eimu koriste\u0107i unaprijed definisani klju\u010d i vektor inicijalizacije za \u0161ifrovanje prenijetih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnih podataka<\/a> (eng. <em>payloads<\/em>).<\/p>\n<p>Upotreba <em>AES-256<\/em> \u0161ifrovanja pru\u017ea dodatni nivo za\u0161tite od neovla\u0161tenog pristupa ili prislu\u0161kivanja tokom prenosa podataka izme\u0111u komponenti <em>ACRStealer <\/em>zlonamjernog softvera ili prilikom komunikacije sa njegovim <em>C2<\/em> serverima. Ovaj pristup tako\u0111e doprinosi odr\u017eavanju operativne bezbjednosti i smanjenju vjerovatno\u0107e otkrivanja putem analize zasnovane na obrascima ili podudaranja potpisa.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Primije\u0107eno je da sajber prijetnja <em>ACRStealer<\/em> ima dubok i vi\u0161estruk uticaj na pogo\u0111ene pojedince i organizacije. Sposobnost ovog zlonamjernog softvera da izbjegne otkrivanje putem sofisticiranih taktika \u2014 poput manipulacije <em>HTTP<\/em> zaglavljima zahtjeva i kori\u0161tenja la\u017enih domena \u2014 dovela je do zna\u010dajnih izazova za bezbjednosne timove.<\/p>\n<p>Kako <em>ACRStealer<\/em> izvla\u010di osjetljive podatke iz kompromitovanih sistema, korisnici postaju izlo\u017eeni <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/07\/identity-theft\/\" target=\"_blank\" rel=\"nofollow noopener\">kra\u0111i identiteta<\/a>, finansijskim gubicima i drugim oblicima digitalne \u0161tete. Organizacije se, s druge strane, suo\u010davaju sa ozbiljnim reputacijskim gubicima i potencijalnim regulatornim kaznama zbog neuspjeha u za\u0161titi informacija o klijentima.<\/p>\n<p>Upotreba naprednih metoda \u0161ifrovanja, uklju\u010duju\u0107i <em>AES-256<\/em> u <em>CBC<\/em> re\u017eimu, dodatno komplikuje proces otkrivanja prisustva zlonamjernog softvera. Kao rezultat toga, mnoge organizacije su primorane da posvete zna\u010dajne resurse istra\u017eivanju i odgovoru na incidente povezane s ovom prijetnjom.<\/p>\n<p>Osim tehni\u010dke slo\u017eenosti, sposobnost <em>ACRStealer<\/em> da se neprestano razvija i prilago\u0111ava stvara dodatni pritisak na bezbjednosne timove, kojima postaje sve te\u017ee da zadr\u017ee strate\u0161ku prednost. Ovakav tempo promjena doprinosi porastu stresa i sagorijevanja me\u0111u stru\u010dnjacima za sajber bezbjednost.<\/p>\n<p>Na kraju, uticaj <em>ACRStealer <\/em>zlonamjernog softvera za pogo\u0111ene strane mo\u017ee biti zna\u010dajan, pri \u010demu se korisnici suo\u010davaju sa finansijskim gubitkom i kra\u0111om identiteta, dok se organizacije bore sa \u0161tetom po reputaciju i regulatornim kaznama. Kontinuirana evolucija ovog zlonamjernog softvera predstavlja zna\u010dajan izazov za bezbjednosne timove dok rade na tome da budu ispred njegovih taktika.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Napredne tehnike izbjegavanja koje koristi zlonamjerni softver <em>ACRStealer<\/em> temeljno su analizirane kako bi se razotkrili klju\u010dni mehanizmi koji omogu\u0107avaju njegovu efikasnost u kra\u0111i informacija. Ova dekompozicija otkriva da se radi o visoko sofisticiranom zlonamjernom softveru \u010diji dizajn nije slu\u010dajan, ve\u0107 pa\u017eljivo usmjeren ka izbjegavanju detekcije i ote\u017eavaju analize.<\/p>\n<p>Poseban izazov u atribuciji prijetnji predstavlja ru\u010dno sklapanje <em>HTTP<\/em> struktura i kori\u0161tenje unaprijed definisanih domena, \u0161to dodatno zamagljuje tragove i ote\u017eava povezivanje aktivnosti sa konkretnim akterima. Ovakav pristup ne samo da zbunjuje automatizovane alate, ve\u0107 i usporava analiti\u010dare u procesu identifikacije izvora napada.<\/p>\n<p>Nove varijante <em>ACRStealer<\/em> dodatno su uslo\u017eile komandno-kontrolne (<em>C2<\/em>) procese, koriste\u0107i dinami\u010dke nizove koje izdaje server i \u0161ifrovanje korisnog tereta putem <em>AES-256<\/em> u <em>CBC<\/em> re\u017eimu. Ova kombinacija ote\u017eava forenzi\u010dku analizu i zahtijeva napredne metode dekodiranja kako bi se otkrio sadr\u017eaj komunikacije.<\/p>\n<p>S obzirom na stalnu evoluciju ovog zlonamjernog softvera, jasno je da postoji potreba za unapre\u0111enjem kapaciteta pra\u0107enja i razvojem sofisticiranijih mehanizama za detekciju. Tradicionalni alati vi\u0161e nisu dovoljni \u2014 neophodna je adaptivna i proaktivna bezbjednosna strategija.<\/p>\n<p>Analiza incidenata pokazuje da <em>ACRStealer<\/em> dosljedno daje prioritet prikrivenosti, \u010dime se potvr\u0111uje da je njegova primarna strategija izbjegavanje otkrivanja, a ne brzina ili agresivnost \u0161irenja. Takav pristup \u010dini ga posebno opasnim u okru\u017eenjima sa slabijom mre\u017enom vidljivo\u0161\u0107u.<\/p>\n<p>Dodatnu zabrinutost izaziva upotreba samopotpisanih certifikata za <em>HTTPS<\/em> komunikaciju, \u0161to otvara pitanja o integritetu i autenti\u010dnosti podataka koji se razmjenjuju. Bez verifikovanih identiteta servera, korisnici i sistemi ostaju izlo\u017eeni manipulaciji i potencijalnim kompromisima.<\/p>\n<p>Zbog svega navedenog, kontinuirana evolucija <em>ACRStealer<\/em> ne samo da potvr\u0111uje njegovu tehni\u010dku sofisticiranost, ve\u0107 i nagla\u0161ava hitnu potrebu za modernizacijom bezbjednosnih pristupa.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<ol>\n<li>Organizacije bi trebalo da koriste napredne izvore obavje\u0161tajnih podataka o prijetnjama koji pru\u017eaju informacije u realnom vremenu o poznatim zlonamjernim aktivnostima i indikatorima kompromitovanja (eng. <em>indicators of compromise \u2013 IOC<\/em>). Ovo mo\u017ee uklju\u010divati informacije o <em>ACRStealer<\/em> <em>C2<\/em> serverima, komunikacionim protokolima i drugim relevantnim detaljima;<\/li>\n<li>Potrebno je sprovoditi redovne procjene ranjivosti, jer su neophodne za identifikovanje potencijalnih slabosti koje mo\u017ee iskoristiti zlonamjerni softver poput <em>ACRStealer <\/em>zlonamjernog softvera. Ovo bi trebalo da uklju\u010duje ispitivanje mre\u017enih konfiguracija, sistemskih ispravki i drugih aspekata vezanih za bezbjednost;<\/li>\n<li>Bezbjedno upravljanje konfiguracijom je klju\u010dno za spre\u010davanje \u0161irenja zlonamjernog softvera poput <em>ACRStealer<\/em>. Ovo podrazumijeva implementaciju strogih kontrola nad konfiguracijama sistema, uklju\u010duju\u0107i mre\u017ena pode\u0161avanja, korisni\u010dke naloge i druge aspekte vezane za bezbjednost;<\/li>\n<li>Softveri za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) su neophodna za otkrivanje i reagovanje na zlonamjerni softver poput <em>ACRStealer<\/em> u realnom vremenu. Ovo podrazumijeva implementaciju sistema koji mogu da prate krajnje ure\u0111aje u potrazi za sumnjivim aktivnostima, identifikuju indikatore kompromitovanja (<em>IOC<\/em>) i preduzmu korektivne mjere po potrebi;<\/li>\n<li>Prakse bezbjednog skladi\u0161tenja podataka su klju\u010dne za za\u0161titu od zlonamjernog softvera poput <em>ACRStealer<\/em> koji izvla\u010di osjetljive informacije iz klijentskih sistema. Ovo podrazumijeva implementaciju sistema koji mogu da \u0161ifruju i autentifikuju sve sa\u010duvane podatke kako bi se sprije\u010dio neovla\u0161teni pristup <em>ACRStealer <\/em>zlonamjernom softveru ili drugim varijantama zlonamjernog softvera;<\/li>\n<li>Robusna obuka o bezbjednosnim praksama je neophodna za edukaciju korisnika o rizicima povezanim sa zlonamjernim softverom poput <em>ACRStealer<\/em> koji je mo\u017eda izbjegao tradicionalne bezbjednosne kontrole. Ovo podrazumijeva implementaciju programa edukacije koji mogu da nau\u010de korisnike o bezbjednim ra\u010dunarskim praksama.<\/li>\n<\/ol>\n<p>Kori\u0161tenjem navedenih preporuka, organizacije mogu da sprije\u010de da osjetljive informacije njihovih klijenata budu ugro\u017eene neovla\u0161tenim pristupom ili kra\u0111om uzrokovanom <em>ACRStealer <\/em>zlonamjernim softverom ili drugim varijantama zlonamjernog softvera.<\/p>","protected":false},"excerpt":{"rendered":"<p>ACRStealer se pojavio kao jedan od najmo\u0107nijih kradljivaca informacija u skorije vrijeme, ponose\u0107i se impresivnim nizom mogu\u0107nosti koje su ostavile mnoge stru\u010dnjake za bezbjednost u potrazi za odgovorima, pokazuje istra\u017eivanje kompanije AhnLab SEcurity intelligence&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8233,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3325,3329,3330,3328,1153,3326,148,2807,2037,3327],"class_list":["post-8232","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-acrstealer","tag-acrstealer-threats","tag-ancillary-function-driver","tag-dead-drop-resolver","tag-evasion-techniques","tag-google-docs-hacks","tag-infostealer","tag-malware-evolution","tag-stay-safe-online","tag-steam-server-compromise"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8232","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8232"}],"version-history":[{"count":5,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8232\/revisions"}],"predecessor-version":[{"id":8238,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8232\/revisions\/8238"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8233"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8232"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8232"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8232"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}